发布于: May 8, 2023
借助 Amazon Key Management Service (Amazon KMS),您可以创建可用于生成和验证基于哈希的消息身份验证代码 (HMAC) 的 KMS 密钥。HMACs 是一个功能强大的加密构建块,它在哈希函数中包含了密钥材料,可以创建唯一的密钥消息身份验证代码。HMAC KMS 密钥只能在政府许可的硬件安全模块 (HSM) 中生成和使用。与本地应用程序软件中使用纯文本 HMAC 密钥相比,此架构可以最小化这些密钥泄露的风险。
您可以通过 HMAC 对数据快速令牌化或签名,例如 Web API 请求、信用卡号、银行路由信息或个人身份信息 (PII)。由于 HMAC 使用的是对称加密,因此,一般来说,与使用非对称加密的签名算法(例如 RSA 或 ECC)相比,它们具有更高的性能。HMAC 常用于多种互联网标准和通信协议,例如 JSON Web Tokens (JWT)。Amazon KMS 中的 KMS 密钥和 HMAC 算法符合 RFC 2104 中定义的行业标准。与其他任何类型的 KMS 密钥一样,您可以通过定义 KMS 密钥和/或 IAM 策略来控制谁可以在什么样的条件下执行 HMAC 功能。
KMS HMAC API 已在由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域推出。有关新 HMAC 功能的概述,请参阅 Amazon KMS 开发人员指南。